Keine DNS-Auflösung im lokalen Netz



  • 
                    WAN_1                      WAN_2
                     :                                 :
                     : CableProvider            : DSL-Provider
                     :                                 :
                     |                                 |
       Ethernet |                                  | PPPoE 
                     |                                 |
                .–--+----.                .------+--------.
                | AVM6490 Router   | AVM7490    |
                '----+----'                 '------+--------'
     192.168.10.1/24 |                      | 192.168.11.1/24
                     |         .-----------.        |
                     +------| pfSense |------+
    192.168.10.254/24 '---+--' 192.168.11.254/24
                                 |
                          LAN | 192.168.0.1/16
                                 | 
                       .-------+-------.
                       | LAN-Switch |
                       '-------+-------'
                                 |
                         ...-----+-----...
                         (Clients/Servers)
    
    

    Pfsense ist auf Version 2.3.2p1 (allerdings historisch gewachsen seit der Version 2, d.h. einige Einstellungen müss(t)en heute sicher anders sein).

    Ich habe Probleme mit der DNS-Auflösung im lokalen Netz, allerdings erst nach einem Totalausfall des Cable-Modems (nicht mehr eingezeichnet), da durch AVM6490 ersetzt).
    Vor dem Ausfall hatte ich nie Probleme, über die Adressen 192.168.10.1 bzw. 192.168.11.1 per LAN auf die jeweiligen Router zuzugreifen. Nach dem Ausfall hatte ich zunächst Probleme mit der automatischen Umschaltung
    auf das andere Gateway. Durch Setzen von "Enable default gateway switching" funktioniert das endlich wieder (Kabelverbindung ist allerdings immer noch down. KD konnte bisher (innerhalb von 12 Tagen) kein neues Modem zuschicken. Jetzt habe ich eine FB gekauft, muss aber noch auf den Freischaltcode warten)
    Auf die Clients im Subnet 192.168.0.1 kann ich problemlos zugreifen.

    Ich habe gelesen, dass mittlerweile der DNS Forwarder nicht mehr Standard ist sondern der DNS Resolver. Aber auch ein Wechsel hat mich nicht weitergebracht

    Meine momentanen DNS-Einstellungen:
    Services - DNS Forwarder - deaktiviert
    Services - DNS Resolver - General Settings - X Enable DNS resolver

    Unter System - General Setup habe ich für jedes Gateway einen externen DNS eingetragen (8.8.8.8 und 213.73.91.35)

    Ein nslookup 192.168.0.11 bringt folgende Ausgabe:
    Server:  pfsense.hs13.lan
    Address:  192.168.0.1
    *** 192.168.0.11 wurde von pfsense.hs13.lan nicht gefunden: Non-existent domain.

    Ich komme einfach nicht mehr weiter und bitte um Unterstützung.
    Danke schon mal
    Holger


  • Moderator

    Hallo Holger,

    Forwarder oder Resolver sollten in deinem Falle egal sein. Kannst du direkt (via SSH bspw.) auf der pfSense denn eine DNS Auflösung vornehmen?

    host google.de

    bspw? Oder ergänzt mit dem DNS Server der Wahl:

    host google.de 8.8.8.8

    Ansonsten wäre es noch wichtig, wie deine DNS Einstellungen bei General Settings konfiguriert sind. Bei Multi WAN wie bei dir macht es Sinn, einen DNS pro WAN zu definieren (auch im DropDown dahinter dann das GW auswählen) und dann ggf. noch einen (oder zwei) ohne ausgewähltes Gateway. Dieser wird dann via Default GW (sollte zumindest) aufgelöst.

    Ist das bei dir auch so konfiguriert?

    Grüße



  • Danke für deine Unterstützung.

    host google.de –> funktioniert
    host google.de 8.8.8.8 --> funktioniert nicht (8.8.8.8 liegt auf dem Gateway, dass momentan noch down ist)

    DNS Einstellungen bei General Settings: pro WAN-Interface habe ich einen unterschiedlichen DNS-Anbieter (8.8.8.8 und 213.73.91.35).

    Die DNS-Auflösung nach extern funktioniert. Nur intern funktioniert es nicht richtig. Per direkter IP-Angabe komme ich auf die angeschlossenen Clients im Netz 192.168.0.1 (außer auf die beiden Router 192.168.10.1 und 192.168.11.1).
    Die Namensauflösung im Netz 192.168.0.1 funktioniert auch nicht. Über den Namen kann ich nur dann auf einen Client zugreifen, wenn er in hosts eingetragen ist.


  • Moderator

    Nur intern funktioniert es nicht richtig.

    Kannst du das näher erläutern? 192.168.0.1 ist die pfS. Was sagt dein Client, wenn du einen nslookup / host auf google.de bspw. machst?

    Ein nslookup 192.168.0.11 bringt folgende Ausgabe:

    Das würde nur funktionieren wenn:

    1. 192.168.0.11 entweder dynamisch vergeben und einen Hostnamen beim DHCP Abruf angibt
    2. 192.168.0.11 statisch im DHCP Server angegeben ist mit Hostnamen

    und dann noch

    1. beim DNS Forwarder/Resolver der Haken drin ist bei "Register DHCP leases in the DNS Resolver" bzw. "Register DHCP static mappings in the DNS Resolver".

    Ansonsten wird dir dein Forwarder oder Resolver zu einer internen IP nicht automatisch einen Hostnamen auflösen können.

    BTW Randbemerkung weil ich das häufig sehe: Nennt eure pfSense Domain - bzw. eure interne Domain - in eurem eigenen Sinne nicht .lan oder .local oder sowas, sondern vergebt eine saubere Subdomain von einer wirklich existierenden Domain (oder einer, die es zumindest geben könnte ;) ). Damit ist es wesentlich leichter später dann auch mal echte und ordentliche Zertifikate (TLS etc.) für eure Installation zu vergeben ohne dann noch was umbenennen zu müssen. Zumal momentan ja wieder diskutiert wird, ob mit der nächsten Version vllt. doch Lets Encrypt Support mit reinkommt.



  • Ein nslookup 192.168.0.11 bringt folgende Ausgabe:
    Entschuldige bitte, da habe ich mich vertippt.
    Meine "problematischsten" Geräte sind die beiden Router (192.168.10.1 und 192.168.11.1). Die kann ich per LAN nicht einmal mit einem Ping erreichen (außer ich verbinde mich mit dem jeweiligen WLAN der Box. Dann kann ich wiederum darauf zugreifen).

    Die physischen Netzwerkarten habe ich folgendermaßen definiert:

    
     WAN (wan)       -> vmx1       -> v4: 192.168.10.254/24
     LAN (lan)       -> vmx0       -> v4: 192.168.0.1/16
     OPT1 (opt1)     -> vmx2       -> v4: 192.168.11.254/24
    
    

    Die Router selber sind folgendermaßen definiert:
    Static IP: 192.168.10.1 bzw. 192.168.11.1
    Subnet:  255.255.255.0

    Jetzt aber richtig: Ein nslookup 192.168.11.1 bringt

    
    Server:  pfsense.hs13.lan
    Address:  192.168.0.1
    *** 192.168.11.1 wurde von pfsense.hs13.lan nicht gefunden: Non-existent domain.
    
    

    192.168.0.1 ist die pfS – richtig.

    nslookup host google.de bringt:

    
    DNS request timed out.
        timeout was 2 seconds.
    Server:  UnKnown
    Address:  172.217.17.35
    
    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    *** Zeitüberschreitung bei Anforderung an UnKnown.
    
    

    Auch bei wiederholter Eingabe des Befehls kommt immer die gleiche Antwort.

    beim DNS Forwarder/Resolver der Haken drin ist bei "Register DHCP leases in the DNS Resolver" bzw. "Register DHCP static mappings in the DNS Resolver"
    Die Attribute waren nicht gesetzt – habe ich nachgeholt. Die Router und einige Rechner im lokalen Netz habe ich neu gestartet – bisher habe ich aber keine Änderungen feststellen können. Nur Clients, die in der hosts-Datei definiert sind, kann ich mit dem Namen ansprechen.

    Den Hinweis zum Domain-Namen habe ich gerne aufgenommen, mache aber erst dann Änderungen, wenn ansonsten alles funktioniert.



  • Hi,

    die pfsense hat auf der LAN-Seite ein /16 Netz, was die beiden Netze auf der WAN-Seite eigentlich beinhaltet.

    Gruß
    pfadmin



  • Da bin ich auch gerade darüber gestolpert. Über die Console kann man das so einstellen. Habe ich seit der Version 2.0 so und mir nie wirklich was dabei gedacht. Funktionierte ja alles. Und bei jeder Neueinrichtung habe ich wieder die alten Einträge genommen.

    Ändert man aber die Einstellungen über die GUI, bekommt man entsprechende Fehlermeldungen.
    Ich habe jetzt mal auf /24 umgestellt und vorsichtshalber die komplette pfs neu gestartet (geht ja schnell). Nur Save und Apply reichte nicht.

    Zuerst ist nichts passiert. Aber nach einer Weile waren die beiden Router zu sehen und ich kam endlich auch über's LAN drauf. Und jetzt klappt endlich auch die Namensauflösung im internen Netz.

    Klasse! und ein großes Dankeschön!
    Holger